Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

vulnérabilité Apache Log4Shell, Sophos communique de nouvelles informations

décembre 2021 par Sophos

À la suite du signalement de la vulnérabilité Apache Log4Shell, Sophos communique de nouvelles informations, issues de sa veille des menaces, sur la façon dont des cyberattaques exploitent déjà ou tentent d’exploiter des systèmes non corrigés. Ces informations sont détaillées sur le site SophosLabs Uncut dans un article intitulé Log4Shell Hell : Anatomy of an Exploit Outbreak. En particulier :

• Sophos observe une montée en flèche des attaques exploitant ou tentant d’exploiter cette vulnérabilité, le nombre de tentatives détectées atteignant déjà plusieurs centaines de milliers.
• Les botnets de cryptominage font partie des premières « attaques ». Ceux-ci se concentrent sur les plateformes de serveurs Linux, particulièrement exposées à cette vulnérabilité.
• Sophos a également enregistré des tentatives d’extraction d’informations de certains services, notamment des clés AWS et d’autres données privées.
• Sophos a remarqué que les tentatives d’exploitation de services réseau commencent par des sondes recherchant différents types. Environ 90 % des sondes détectées par Sophos se focalisent sur le protocole LDAP. Une plus petite proportion d’entre elles ciblaient Java Remote Interface (RMI) mais les chercheurs de Sophos ont relevé l’existence apparente d’un plus grand nombre de tentatives distinctes liées à RMI.
• Sophos s’attend à voir s’intensifier et se diversifier les méthodes d’attaque et les motivations des assaillants dans les jours et les semaines qui viennent, notamment avec la possibilité d’une exploitation par des ransomwares.

Sean Gallagher, chercheur senior en menaces chez Sophos, auteur de l’article sur SophosLabs Uncut :
« Depuis le 9 décembre, Sophos a détecté des centaines de milliers de tentatives d’exécution à distance de code exploitant la vulnérabilité Log4Shell. Au départ, il s’agissait de tests de type « preuve de concept » réalisés par des chercheurs en sécurité et des assaillants potentiels, entre autres, ainsi que de nombreux scans en ligne de la vulnérabilité. Ces tests ont été rapidement suivis de tentatives d’installation de mineurs de cryptomonnaie, notamment le botnet de minage Kinsing. Les informations les plus récentes laissent penser que les auteurs des attaques essaient d’exploiter la vulnérabilité afin de révéler les clés utilisées par des comptes AWS. Des signes indiquent également que des assaillants tentent de s’en servir pour installer des outils d’accès distant sur les réseaux de leurs victimes, dont peut être Cobalt Strike, un élément essentiel dans de nombreuses attaques de ransomwares. »

« La vulnérabilité Log4Shell présente un nouveau type de défi pour les défenseurs. De nombreuses vulnérabilités logicielles se limitent à un produit ou une plateforme spécifique, par exemple les failles ProxyLogon et ProxyShell dans Microsoft Exchange. Une fois connu le logiciel vulnérable, les défenseurs peuvent alors le vérifier et le corriger. Or Log4Shell est une bibliothèque utilisée par un grand nombre de produits. Sa vulnérabilité peut donc être présente au plus profond de l’infrastructure d’une entreprise, notamment dans tout logiciel développé en interne. La recherche de tous les systèmes vulnérables à cause de Log4Shell doit donc constituer une priorité pour la sécurité informatique. »

« Sophos prévoit que la vitesse à laquelle les auteurs d’attaques maîtrisent et exploitent la vulnérabilité ne fera que s’accroître dans les jours et semaines à venir. Dès lors qu’un assaillant a accès à un réseau, toute sorte d’infection peut s’ensuivre. C’est pourquoi, aux côtés de la mise à jour logicielle Log4j 2.15.0 déjà publiée par Apache, les équipes de sécurité informatique doivent soigneusement passer en revue l’activité sur le réseau afin de repérer et d’éliminer tout intrus, même s’il ne paraît être qu’un malware courant. »


Voir les articles précédents

    

Voir les articles suivants